Implementación segura de Director
Este artículo destaca las áreas que pueden afectar la seguridad del sistema al implementar y configurar Director.
Comunicaciones de Director
En un entorno de producción, utilice los protocolos HTTPS para proteger los datos que pasan entre Director y sus servidores. HTTPS utiliza protocolos TLS (Transport Layer Security) para proporcionar un cifrado de datos sólido.
Nota:
- Citrix® recomienda encarecidamente restringir el acceso a la consola de Director dentro de la red de intranet.
- Citrix recomienda encarecidamente no habilitar conexiones no seguras a Director en un entorno de producción.
- Utilice TLS 1.2 o superior. No utilice versiones antiguas de TLS o SSL.
Para proteger las comunicaciones entre los exploradores web de los usuarios y Director, consulte Habilitar TLS en Web Studio y Director
Para proteger las comunicaciones entre Director y los servidores de Citrix Virtual Apps and Desktops (para supervisión e informes), consulte Protección del acceso a la API OData de Monitor local.
Para proteger las comunicaciones entre Director y Citrix ADC (para Citrix Insight), cuando Configure el análisis de red, elija un tipo de conexión HTTPS.
Configurar Microsoft Internet Information Services (IIS)
Puede configurar Director con una configuración restringida de IIS.
Límites de reciclaje del grupo de aplicaciones
Director utiliza un grupo de aplicaciones llamado Director. Puede establecer los siguientes límites de reciclaje del grupo de aplicaciones en el grupo de aplicaciones:
- Límite de memoria virtual: 4.294.967.295
- Límite de memoria privada: El tamaño de la memoria física del servidor StoreFront™
- Límite de solicitudes: 4.000.000.000
Extensiones de nombre de archivo
Durante la instalación, Director configura el filtrado de solicitudes para permitir solo las siguientes extensiones:
- .
- el .aspx
- el .css
- el .eot
- el .html
- el .ico
- .js
- el .png
- el .svc
- el .svg
- .gif
- .json
- el .woff
- .woff2
- el .ttf
Verbos HTTP
Durante la instalación, Director configura el filtrado de solicitudes para permitir solo los siguientes verbos:
- GET
- POST
- HEAD
Funciones de IIS
Director no requiere los siguientes componentes de IIS:
- Extensiones ISAPI
- Programas CGI
- Programas FastCGI
Puede eliminar estos componentes.
Nivel de confianza de .NET
Director requiere que el Nivel de confianza de .NET se establezca en Confianza total. No establezca el nivel de confianza de .NET en ningún otro valor.
Configurar derechos de usuario
Cuando Director está instalado, a su grupo de aplicaciones se le concede lo siguiente:
- Derecho de inicio de sesión Iniciar sesión como servicio
- Privilegios de Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso
Los derechos y privilegios mencionados son un comportamiento de instalación normal cuando se crean grupos de aplicaciones.
No es necesario cambiar estos derechos de usuario. Director no utiliza estos privilegios y se deshabilitan automáticamente.
Separación de seguridad de Director
Puede implementar cualquier aplicación web en el mismo dominio web (nombre de dominio y puerto) que Director. Sin embargo, cualquier riesgo de seguridad en esas aplicaciones web puede reducir potencialmente la seguridad de su implementación de Director. Cuando se requiere un mayor grado de separación de seguridad, Citrix recomienda implementar Director en un dominio web independiente.